Datatilsynet: Læk af 95.000 jobansøgeres data fra Novo Nordisk er ‘meget beklagelig’

10. maj 2017 kl. 13:114
De fornødne sikkerhedsforanstaltninger var ikke på plads, da medicinalgiganten Novo Nordisk ved en menneskelig fejl lækkede personoplysninger på 95.000 potentielle jobansøgere.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det var ‘meget beklagelig’ at Novo Nordisk tidligere på året lagde 95.000 potentielle jobansøgeres oplysninger frit ud på nettet.

Sådan lyder melding fra Datatilsynet i en afgørelse, der har været på vej siden en borger i starten af året gjorde tilsynet opmærksom på lækket. Efterfølgende påpegede Datatilsynet det over for Novo Nordisk.

De 95.000 personer er tilmeldt Novo Nordisk’ jobagent-side. Ved en menneskelig fejl blev alle oplysninger i januar gjort tilgængelige på en live testside.

»Behandlingen af personoplysninger har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondataloven,« bemærker tilsynet.

Kunne findes gennem søgemaskiner

Datatilsynet hæfter sig i afgørelsen ved, at data ikke kunne tilgås ved at navigere rundt på Novo Nordisk’ hjemmeside, men kun gennem søgemaskiner, og at siden blev fjernet så snart selskabet blev bekendt med det.

Artiklen fortsætter efter annoncen

Derudover har tilsynet taget med i afgørelsen, at den menneskelige fejl var i strid med de godkendte testprocedure.

Den lækkede data tæller navn, telefonnummer og mail såvel som de områder, som personen har været interesseret i en stilling i. Data'en var ifølge Novo Nordisk tilgængelig på firmaets hjemmeside mellem den 10. januar og den 31. januar i år.

Audit hos leverandører

Version2 bad i marts Novo Nordisk redegøre for lækket. Dengang svarede Charlotte Zarp-Andersson, talsperson for Novo Nordisk, at selskabets jobagent skal hente data fra websitet ved hjælp af en funktionalitet, der driftes af en ekstern IT-leverandør.

»Novo Nordisk bad i starten af januar den eksterne IT-leverandør om at rette en fejl ved denne funktionalitet. Ved en menneskelig fejl hos IT-leverandøren, og i strid med leverandørens egne procedurer og god IT-praksis, kom en ansat, som arbejdede på at løse problemet, til at teste siden på et live, dummy website,« skrev Charlotte Zarp-Andersson på det tidspunkt i en mail til Version2.

Hvorfor blev dette ikke opdaget før en Datatilsynet henvender sig?

»Fejlen blev ikke opdaget før Datatilsynet henvendte sig fordi test websitet ikke var tilgængelig fra novonordisk.com men kun findes via search engines,« skrev skrev Charlotte Zarp-Andersson til Version2.

Hvilke tiltag skal sikre, at det ikke sker igen?

»Vores eksterne IT-leverandør har forpligtet sig til en række tiltag der skal sikre at fejlen ikke sker igen, blandt andet har medarbejderne fået yderligere uddannelse i de relevante procedurer. Derudover har leverandøren begrænset antallet af medarbejdere, der kan publicere Novo Nordisks websider. Endelig vil Novo Nordisk snarest afholde en audit af den eksterne IT-leverandørs personlige databeskyttelsestiltag.«

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
11. maj 2017 kl. 13:42

Så have staten fået de mistet milliarder i Skat hjem igen.

Personligt vil jeg foretrække, at skyldnere med betalingsevne bringes til at betale det skyldige, og at bøder ikke betragtes som en indtægtskilde, men derimod et adfærdsregulerende middel.

Eller i det mindste at sjusk, bevidst fusk, grov uagtsomhed, kiggen den anden vej og grovere slendrian ikke længere kan betale sig. Det skal kort sagt kunne betale sig at opføre sig ordentligt.

...men vi er vist på vej væk fra topic.

3
11. maj 2017 kl. 13:24

Så have staten fået de mistet milliarder i Skat hjem igen.

2
11. maj 2017 kl. 10:01

Fra artiklen

...kom en ansat, som arbejdede på at løse problemet, til at teste siden på et live, dummy website

Hvad er et "live, dummy website" og hvad laver næsten 100k personoplysninger i noget, som lyder som udvikling og ikke drift?

Hvordan kan man få det til at lyde som et hændeligt uheld?

1
10. maj 2017 kl. 20:45

Jamen politiofficer, jeg var ikke klar over at jeg kørte for hurtigt indtil du gjorde mig opmærksom på det. My bad.

Hvad siger du, politiofficer? Det var en menneskelig fejl at jeg trykkede for hårdt på speederen - hvorfor bliver jeg alligevel frataget mit kørekort?